我正在研究编码字符串以防止XSS攻击.现在我们想要使用白名单方法,其中白名单之外的任何字符都将被编码.现在,我们正在采取'('和输出'('之类的东西.据我们所知,这将阻止大多数XSS.
问题是我们有很多国际用户,当整个网站都是日文版时,编码成为主要的带宽需求.可以肯定地说,基本ASCII集之外的任何字符都不是漏洞而且它们不需要编码,或者是否仍然需要编码的ASCII集之外的字符?
php xss utf-8
php ×1
utf-8 ×1
xss ×1